|
Популярное за неделю:
|
Кибероружие белорусского КГБ
Оказалось, под негласным контролем белорусских спецслужб длительное время находились компьютеры, а также личная переписка через Skype, электронную почту и социальные сети, не только некоторых работников хартийской редакции (компьютер контент-администратора, имеющего доступ только к административной панели сайта Хартии), но и известных белорусских журналистов, политиков, общественных деятелей, активистов. Троянская сеть контролировалась с помощью нескольких ящиков электронной почты; удалось получить доступ к некоторым: boss.bigben@mail.ru и 123asqedws@mail.ru. Анализ присланных вирусами логов активности зараженных компьютеров позволяет утверждать, что спецслужбы незаконно прослушивали редакцию Хартии, а также Ирину Халип, Марину Коктыш, Сергея Возняка, Павла Маринича, Елену Новикову, Виктора Радькова и многих других людей. Предпринимались попытки заражения компьютеров Белорусской ассоциации журналистов, Дмитрия Лоевского, адвоката Алеся Беляцкого, Вячеслава Дианова, координатора "молчаливых" акций протеста. Были ли попытки успешными - неизвестно. Сеть работала как минимум с июля 2011 года. Именно тогда установлено первое задокументированное заражение одного из компьютеров. Были украдены пароли от Skype (это позволяет включить Skype на другом компьютере и параллельно читать всю переписку пользователя), социальных сетей, e-mail и даже пароли доступа к интернет-провайдеру, записывалась картинка десктопа с действиями пользователя, копирование в буфер обмена, набор текста в текстовых редакторах, мессенджерах. Злоумышленники использовали три вида вирусов: уже известный вирус КГБ или RMS от TeknotIT, UFR Stealer - вирус, заражающий компьютер через флешку, и Keylogger Detective. Это так называемые "трояны для школьников". Их можно свободно купить в Рунете за 20-30 долларов. Удалось установить и белорусский IP-адрес, который принадлежит владельцам вирусов и двух e-mail. Адрес сохранился в отправленных и тестовых письмах в обоих почтовых ящиках. Этот же самый адрес есть в логах нападения на charter97.org и electroname.com - 178.124.157.86. IP-адрес зафиксирован в логах e-mail и серверов под разными датами, т.е. адрес статичный и используется постоянно. Другими словами, заражение компьютеров, прослушка и атака на сайты выполнена одной и той же группой. Судя по тому, что Максим Чернявский, завербованный куратором Димой из КГБ, также получил задание установить "вирус" RMS от TeknotIT на компьютер Вячеслава Дианова, можно предположить - эта группа киберпреступников из КГБ. Предлагаем инструкцию по поиску и удалению вирусов: I. KeyloggerDetective Троянская программа, известная как Keylogger Detective, детектируется как "modified Win32/PSW.Sycomp.G" (NOD32), "Trojan.MulDrop3.2380" (DrWeb), "Trojan-Spy.Win32.Agent.btzs" (Kaspersky), "TrojanSpy:Win32/Keylogger.BK" (Microsoft), "SHeur3.CKGS" (AVG), "Trojan.ADH" (Symantec), "TrojanSpy.Agent.btzs" (VBA32). Файл имеет размер 87,312 байт. MD5: e740bf2a9539bf4fc4df88cf4e799bf2 При запуске создаёт директорию "C:\Documents and Settings\<Пользователь>\Application Data\sysdata", куда копирует себя, и сохраняет в ней файлы с информацией о нажатых клавишах, активных окнах, кликах мыши и содержимом буфера обмена. Файлы, с перехваченной информацией, имеют вид sys.dat, 0sys.dat, 1sys.dat. Собранную информацию отправляет на указанный в программе почтовый ящик по мере её накопления. Для автозапуска, при загрузке системы, использует ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2. Для ручного удаления необходимо: 1. принудительно завершить процесс svssvc.exe (см. картинку); 2. удалить директорию "C:\Documents and Settings\<Пользователь>\Application Data\sysdata"; 3. удалить ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\yrrrrt2 либо отключить автозапуск с помощью стандартной утилиты msconfig.exe (см раздел Автозапуск, элемент svssvc). После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы. II. UFR Stealer Троянская программа, известная как UFR Stealer, детектируется как "Trojan.PWS.UFR.11" (DrWeb), "Generic23.FQT" (AVG), "Trojan-PSW.Win32.Ruftar.bsa" (Kaspersky), "Trojan:Win32/Anomaly" (Microsoft), "a variant of Win32/Spy.Usteal.A" (NOD32), "Trojan.Khil.23905" (VBA32) Файл имеет размер 52,736 байт. MD5: 71f950f31c15023c549ef4b33c2bf1e0 При запуске собирает логины/пароли приложений, используемых в системе. Поддерживает кражу паролей от таких программ как Opera, Firefox, Chrome, Internet Explorer, QIP, MSN Messenger, ICQ, Mail.ru Agent, Pidgin, Google Talk, Miranda, The Bat!, FileZilla, Total Commander и др. Также собирает общую информацию о системе. Сохраняет собранную информацию в папку ufr_files, в директории, где была запущена программа и пытается передать собранные данные на указанный в теле программы почтовый ящик. После этого самоудаляется. В системе не закрепляется, поэтому ручное удаление из системы не требуется. При обнаружении такого файла удалите его самостоятельно, не запуская. Определить была ли запущена у вас данная программа можно по характерным следам, которые остаются в системе: * Наличие папки ufr_files на вашем диске с файлами *.dat, *.bin, *.txt, *.ds; * Наличие prefech-файла по пути: C:\Windows\Prefetch\ABGREYD.EXE-*.pf. После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы. III. RMS Trojan Троянская программа, построенная на основе легальной программы для удаленного администрирования, известной как Remote Manipulator System (http://www.tektonit.ru). Компоненты, являющиеся легальным ПО, не детектируются антивирусными программами как вредонсоные файлы, однако инсталятор определяется как "Worm.Autorun-8201" (ClamAV), "Trojan.Generic.6178206" (GData), "Backdoor.BAT.Agent.l" (Kaspersky), "Backdoor.BAT.Agent.l" (VBA32). Файл имеет размер 2,782,938 байт. MD5: 3299b4e65c7c1152140be319827d6e04 При запуске создает скрытую директорию C:\Windows\system32\catroot3, куда копирует различные компоненты программы удаленного управления, настраивает системный фаервол, создаёт скрытый файл C:\Windows\system32\de.exe. После этого запускает программу удаленного управления и самоудаляется из директории запуска. Наличие в системе можно определить: * по работающим процессам rutserv.exe или rfusclient.exe; * по наличию скрытых директории C:\Windows\system32\catroot3 и файла C:\Windows\system32\de.exe; * по наличию сервиса с именем "TektonIT - R-Server". Управление осуществляется по собственному протоколу (на основе TCP), используя сервера компании Tekton-IT, предоставляемые на бесплатной основе. Для быстрого ручного удаления можно воспользоваться деинсталятором, который, видимо, по ошибке атакующих, копируется в систему вместе с остальными компонентами вредноносного сервиса. Запуск C:\windows\system32\de.exe удалит записи из реестра, остановит работающий сервис и удалит все компоненты приложения, включая и сам файл de.exe. После удаления программы рекоммендуется сменить пароли от всех ресурсов, доступ к которым осуществлялся с зараженной системы, а также как можно раньше переустановить всю операционную систему, т.к. она могла быть заражена любыми другими вредоносными программами, которые загрузили с помощью текущей. Комментарии
|
Белнет
E-Gov
Новости компаний
Слухи
Реклама
Календарь
Голосование
|